2014年4月9日 星期三

Virus E-Mail [ howdecrypt ] [ ransomware ] [ CryptoDefense / CryptoLocker ]

剛剛最近有客戶感染了新類型的電腦病毒 Trojan.Ransomlock, 呢個病毒我感到相當震撼, 以往常見的病毒一搬都係整慢整瓜Windows, 亂發e-mail, 亂彈色情網站, 叫做嚴重D就係偷取你的個人資料或銀行資料等等... 十幾年前的CIH病毒中左後係謀一天爆發, 成個Harddisk的資料連Windows冇晒, 我覺得對我冇嘜野特別, 我幫你裝返個Windows收工, 你冇晒Data已經係事實, 你冇做任何Backup呢個就唔係我的問題啦, 新呢類 ransomlock的病毒, 感染後會把你電腦內的所有文件包括USB Harddisk及Connected的Share Drive (Server Drive)的檔案全部加密, 加密左的檔案全部開唔到, 有機會連你的Backup Data都加密埋, 呢種情況下可以算係Total Loss!!

最開心係所有被加密過的文件都會留低一個 HOW_DECRYPT的文件, 文件主要係講如果你想救回文件可以點做, 咁當然係俾錢個Hacker!!!  由中毒那天起計一個月內如沒有俾錢就永遠救唔返D File, 頭7天內俾錢就 US$500, 7天後就 US$1000!!!  付款以Bit Coin作交易, 你必需自行購買Bit Coin再把Bit Coin匯給Hacker, 所以你係追唔到Hacker的來源, 你無需報案因為亦有人report返來話報左警, 警察話唔會理呢D Case!!!



如何查找那台電腦感染這個病毒 :
每次開機會彈出上圖畫面, 而這台電腦的 "My Document" 一定會有  Howdecrypt 等file!!!

什麼情況下會連我的Backup也被加密 :
 - 如你使用 USB Harddisk 接駁電腦, 你的 USB Harddisk內所有檔案一定被加密
 - 如果係Server 的Share Drive會被感染病毒的電腦把檔案加密, 如果server只做 rsync 及 daily copy backup好有機會backup埋加密左既文件

如何Backup我的文件才不會被加密及受到影響 及 最好的Backup方法 :
 - Server每天均用Tape Media Backup, 同時每天均會換Tape
 - Server會自行backup share folder同時keep多個version/history, 而backup location不是一個share folder可以供user進入, 那病毒更無法加密檔案, 同時因為多個version的backup 及history所以即使昨天的文件已被加密, 還有再早多幾天的可以復原
 - 上面講的都是Share Drive, 那User 電腦的保障就是必需開啟VSS (Shadow Copy), 最好就是所有文件都存放於Server上

病毒是如何感染?  如何防止中毒?
 - 暫時應該是由 e-Mail attachment感染回來, 任何時候都應該睇清楚個e-mail內文先好開啟attachment附件, 很多user都不會插入 hyperlink連結到e-mail內, 不要見link就click, 男同事就不要色字頭上一把刀見到似係咸相就click落去

基本上所有人包括你老闆sent給你的e-mail都有機會係由virus假扮, 常見的virus sender包括有Express公司 (Fedex, TNT, DHL, UPS), 銀行, Yahoo, Hotmail, Microsoft, PCCW等等!!!  





















已知今天病毒的附件係一個假既 PDF檔案附件, Icon圖示及Filename都與PDF相同, 其實係一個病毒, 而成個e-mail係假扮 Copier的 Scan to E-Mail, 呃你去click!!





PS : 最後我幫個客買Bit Coin取回加密Key才可以救回所有文件 (約花了 HK$5000) , 仲未計我收佢既費用, 約莫攪左20個Working Hours!


HISTORY / CASE :
 - 第一個客中毒約莫係5-Apr-2014, 9-Apr-2014已付錢買Key, 到9-May-2014仲未decrypt返晒所有file (主因係一台電腦中毒, 星期五放工沒關機, 到星期一返工時全Server文件被加密了, 病毒加密所有文件用了三天, 買key解密用左一個月30 x 24都未解密完) <9-Apr-2014>

 - 已發郵件給所有客戶, 通知此病毒, 當然包括埋此Blog, 通知需更換可偵察的Anti-Virus及預先做備份已防萬一
 - 可偵察的防病毒軟件 ESET NOD32 Anti-Virus 7 及 Symantec Endpoint Protection (註: 第一個中毒的客戶本身就係用NOD32, 中毒幾日後才能detect出來)
 <9-Apr-2014>

 - 第二個客中毒反應來得較快, 只有兩台Client電腦中毒, 一台電腦需新安裝Windows, 而另一台因為User沒有admin right所以不影響系統, 但電腦內的文件全部被加密, 因為反應得快, 沒影響Server, 不用買key!! <21-Apr-2014>

 - 第三個客中毒並沒有Server, 只是一台PC 用share folder share文件給各同事, 中毒時間不清楚, 但因晚上沒有關機, 第二朝早上便所有文件已被加密 <9-May-2014>



Symantec Blog
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month

沒有留言:

張貼留言